TCNICAS DE REINICIO EN FRO: INFLUENCIA EN LA PRCTICA DE DILIGENCIAS DE ENTRADA Y REGISTRO

1
TÉCNICAS DE REINICIO EN FRÍO INFLUENCIA EN LA
PRÁCTICA DE DILIGENCIAS DE ENTRADA Y REGISTRO
Joaquín Anguas Balsera Perito Ingeniero en
Informática joaquim_at_anguas.com
2

• Desarrollo
• Diligencias de entrada y registro
• Técnicas de reinicio en frío
• Aplicación

3

• Diligencias de Entrada y Registro
• Cuántos de Uds. se han visto expuestos?
• También aplica a las diligencias previas (de
  comprobación de hechos y de aseguramiento de
  prueba).
• Acto de investigación ordenado por un juez
  consistente en el acceso a un local con el objeto
  de buscar y recoger fuentes de investigación y
  prueba.
• Comisión judicial constituida por secretario
  judicial, fuerzas del orden y/o peritos en el
  local objeto de la diligencia. Se lleva a cabo
  ante testigos y el imputado o demandado, o su
  legal representante.

4

• Diligencias de Entrada y Registro
• El secretario judicial levanta acta de la
  diligencia, por tanto todo lo que se realice debe
  ser lo más atómico y fácil de documentar posible.
• Se debe minimizar el perjuicio para el que
  soporta la diligencia.
• Es una actuación en la que no cabe volveré
  mañana por razones obvias y cualquier error
  puede comprometer la prueba en su origen.

5

• Operativa en frío y en caliente
• En el caso de las diligencias en las que
  interviene la informática, durante tiempo se ha
  optado por desenchufar los equipos para evitar
  que cualquier evento interno o externo pueda
  comprometer la prueba. Una vez desenchufado, se
  copia bit a bit el contenido de los discos.
• La necesidad de comprobar circunstancias que
  requieren que el sistema esté funcionando han
  dirigido las diligencias hacia la captación en
  caliente.
• La captación en caliente abre la puerta a
  discutir herramientas y métodos, ya que es más
  intrusiva.

6

• Técnicas de Reinicio en Frío
• Propuestas por Halderman et al .
• Se basan en la persistencia de la memoria DRAM.
• Se plantean como vulnerabilidad de los sistemas
  de encriptación de disco.
• Halderman et al. demuestran que efectivamente se
  puede capturar la memoria volátil de forma
  similar al contenido de un disco duro.
• Consiguen además capturar claves de encriptación
  de la memoria y desencriptan discos encriptados
  en varios sistemas.
• http//citp.princeton.edu/memory/

7

• En qué consisten?
• La memoria DRAM no pierde sus valores
  instantáneamente.
• Se trata de apagar de forma abrupta el sistema
  objeto para encenderlo inmediatamente, de forma
  que la memoria mantiene su valor original.
• Dada la influencia de la temperatura en la
  pérdida de la información, se propone enfriar los
  módulos de memoria con una lata de gas comprimido
  invertida.

8

• Escenarios
• Halderman et al. han desarrollado un pequeño
  sistema de arranque que incluye una aplicación de
  copia.
• Inicio desde USB, en el mismo soporte se arranca
  se deposita la copia. Es necesario un soporte por
  captura. El soporte debe tener la misma capacidad
  que la memoria a capturar.
• Inicio desde red, el arranque y la copia se
  realiza por red. Se conecta un ordenador al
  objeto de registro con un cable de red cruzado.
  El ordenador está configurado para servir una
  dirección IP y una imagen de arranque PXE. Dicha
  imagen arranca y copia la memoria.
• Inicio desde CD-ROM, se arrancaría desde CD-ROM y
  se copiaría a un dispositivo extraíble.

9

• Cuándo utilizarlas?
• Cuando sea materialmente posible.
• Cuando se sospeche que se está utilizando alguna
  forma de encriptación de disco.
• Cuando se precise capturar el estado de ejecución
  del sistema a registrar.
• Ejemplos intentos de intrusión, control de redes
  de BOTs, malware, etc.

10

• A tener en cuenta
• Es preciso que el sistema se encuentre en
  funcionamiento.
• Debe ser posible acceder a los módulos de
  memoria.
• Debe ser posible verificar en el BIOS que no se
  realiza comprobación de memoria en el arranque.
• Si el tipo de memoria es ECC, debe disponerse de
  otro equipo que acepte el mismo tipo de memoria
  no ECC.
• Debe ser posible arrancar el sistema de arranque
  y copia (usb, cd-rom o red)
• Debe ser posible copiar la imagen de la memoria a
  un dispositivo externo.

11

• A tener en cuenta
• El procedimiento se debe ensayar, tanto para el
  caso canónico como para las posibles diferentes
  variaciones, ya que puede tener efectos adversos
  si no se ejecuta correctamente.
• Debe identificarse adecuadamente cada elemento
  que se utilice.
• Todas las acciones deben documentarse,
  referenciarse y practicarse a la vista del
  denunciado / imputado o testigos y la comisión
  judicial.
• Deben identificarse claramente los medios en los
  que se deposite la copia. Es recomendable
  calcular un resumen (hash) y añadirlo como
  listado en el informe asociado a la diligencia.

12

• Conclusiones
• Debidamente ejecutadas, las técnicas de reinicio
  en frío pueden ofrecen una nueva forma de
  capturar el conjunto de evidencias residentes en
  memoria volátil en aquellos casos en los que esto
  sea necesario.
• Siendo una práctica de riesgo, se debe restringir
  su uso a aquellos casos en los que se sospeche
  que la eficacia de la medida está comprometida.

13

• Preguntas?

14

• Gracias!
• joaquim_at_anguas.com
• http//www.anguas.com